
Amazon Quick のカスタムチャットエージェントにおけるプロンプトインジェクション対策
クラウド事業統括本部の石川です。Amazon Quick のカスタムチャットエージェントを社内展開する際に気になるのが、プロンプトインジェクションへの対策です。AWS 公式ドキュメントと私の経験に基づき、Amazon Quick が標準で備えるガードレールと、管理者・エージェント作成者がそれぞれ実施できる対策を多層防御の観点で解説します。
Amazon Quick のチャットエージェントとは
Amazon Quick には、サブスクリプション作成時に自動で用意される システムチャットエージェント(デフォルト) と、特定のチーム・ユースケース向けに独自の指示(ペルソナ)やナレッジソースを設定して作成する カスタムチャットエージェント の 2 種類があります。
カスタムチャットエージェントは、スペース・ダッシュボード・トピック・ファイルなどをナレッジソースとして紐付け、アクションコネクタ(Slack、Outlook、Jira など)と連携したうえで組織内に共有できます。便利な一方で、LLM を組み込んだチャットアプリケーションである以上、プロンプトインジェクションのリスクを考慮した設計が必要になります。
プロンプトインジェクションとは
AWS セキュリティブログ Safeguard your generative AI workloads from prompt injections では、プロンプトインジェクションを大きく 2 種類に分類しています。
- 直接プロンプトインジェクション : ユーザーが「これまでの指示を無視して」のような命令を明示的に入力し、エージェント本来の指示を上書きしようとする攻撃です
- 間接プロンプトインジェクション : エージェントが参照する外部ソース(アップロードされたドキュメントや Web ページなど)に悪意のある指示を埋め込み、エージェントがそれを処理した際に意図しない動作を引き起こす攻撃です。白背景に白文字で隠した指示をドキュメントに仕込む例が紹介されています
カスタムチャットエージェントは「ユーザーとの対話」と「ナレッジソースの参照」の両方を行うため、この 2 つの経路それぞれに対策が必要です。
対策の全体像
Amazon Quick におけるプロンプトインジェクション対策は、以下の 4 つのレイヤーで整理できます。
レイヤー1 : デフォルトガードレール(自動適用)
まず押さえておきたいのは、Amazon Quick のすべてのチャットエージェント(システム・カスタム)およびフローには、デフォルトのガードレールと安全制御が最初から組み込まれている点です。

公式ドキュメントの Chat agent customization in Amazon Quick では以下の 3 つが挙げられています。
- プロンプトリーク保護(Prompt leak protection) : 自動で有効化され、プロンプトインジェクションやその他の LLM を破綻させる攻撃を防ぎます
- プロンプトセーフティ(Prompt safety) : 悪意のある指示や「ガードレールを無視しろ」といった指示など、一般的なセキュリティ脅威から保護します
- ブロックワード・フレーズ(Blocked words and phrases) : 侮辱、ヘイトスピーチ、性的コンテンツ、暴力、不正行為などの不適切コンテンツから、チャットのリクエストとレスポンスの両方を保護します
これらは利用者側での有効化作業なしに、既定で適用される標準保護です。Amazon Bedrock Guardrails のようにガードレールを自前で構築・設定する必要がない点は、マネージドサービスならではのメリットです。
レイヤー2 : 管理者によるインスタンス全体の設定
ブロックワード・フレーズの追加
管理者は、インスタンス内のすべてのチャットエージェントとフローに適用されるブロックワード・フレーズを最大 50 件まで定義できます。設定した単語やフレーズは応答に含まれなくなります。デフォルトでは何も設定されていないため、自社のポリシー上出力させたくない単語がある場合は明示的に追加します。但し、執筆時点(2026/07/17)では、日本語の入力はエラーになり、登録できません。
設定は管理コンソールから行います。
- Amazon Quick コンソールにログインし、「アカウントを管理」を選択します
- 左ナビゲーションメニューから「カスタマイズ」→「エージェントのカスタマイズ」を選択します
- 「ガードレールと安全管理」の「ブロックされた単語やフレーズ」で [追加] ボタンを押して、単語・フレーズを追加します

50件という上限は少ないため、デフォルトガードレールが一般的な不適切コンテンツをカバーする前提で、「自社固有のドメイン知識がないと弾けない語」に50枠を集中させるのが実用的です。
外部リンクのクリック可否制御
管理者は、チャット応答内の URL をクリック可能なハイパーリンクとして表示するか、プレーンテキストとして表示するかを制御できます。この設定はインスタンス内のすべてのチャットエージェントとフローに適用されます。
間接プロンプトインジェクションでは、応答に悪意のあるリンクを含ませてユーザーを誘導する手口が考えられるため、要件上ハイパーリンクが不要であればプレーンテキスト表示(トグルをオフ)にしておくことで、クリックを介したリスクを下げられます。
レイヤー3 : エージェント設計での対策
変更されては困る指示は参照ドキュメントに置く
カスタムチャットエージェントの動作を規定する手段として、公式ドキュメントの Chat agent context sources and best practicesはペルソナ指示(Persona instructions)、参照ドキュメント(Reference documents)、**スペース(Spaces)**の 3 つを挙げており、それぞれ性質が異なります。
| 手段 | 性質 |
|---|---|
| ペルソナ指示 | 生成 AI が解釈・拡張して最適化する高レベルな指針 |
| 参照ドキュメント | 記述した内容がそのまま保持され、エージェントの永続的なコンテキストになる |
| スペース | 会話中に検索・参照される動的なナレッジリポジトリ |
セキュリティ観点で重要なのは、ペルソナ指示は AI の強化処理によって元の文言や構造が変更される可能性がある点です。公式ドキュメントには「変更されてはならない重要なガイドラインは、代わりに参照ドキュメントに配置すべき」と明記されています。
さらに参照ドキュメントについては、「ファイルによる行動フレームワークと参照データは、ユーザーが別のコンテンツを添付した場合でも有効なまま維持される」とされています。エージェントに守らせたい業務ルールや応答方針を参照ドキュメントとして固定しておくことは、ユーザー入力による指示の上書き(直接プロンプトインジェクション)への備えになります。ただし、応答テンプレートの書式については、ユーザーが相反する書式指示を与えた場合に一時的に調整されることがある点は把握しておきましょう。

ナレッジソースとアクションを明示的にスコープする
公式ドキュメントの「Amazon Quick で AI を活用したチャットエージェントを作成、カスタマイズ、デプロイする」によると、カスタムチャットエージェントは、作成時にリソース(スペースやアクションコネクタ)を明示的に設定した場合、デフォルトではその設定されたリソースのみを使って回答やアクションのオーケストレーションを行います。逆にリソースを設定しない場合、チャット時にユーザーがアクセスできるすべてのスペースやアクションが利用対象になり得ます。
AWS Prescriptive Guidance の Mapping to OWASP top 10 for LLM applications でも、OWASP Top 10 for LLM Applications の LLM01(プロンプトインジェクション)への対策として「エージェントのスコープ決定によるアタックサーフェスの限定」が挙げられています。カスタムチャットエージェントを作成する際は、ユースケースに必要な信頼できるスペース・アクションだけを紐付けることで、間接プロンプトインジェクションの侵入経路と、攻撃が成立した場合の影響範囲の両方を絞り込めます。
レイヤー4 : 権限管理
ユーザー権限による応答のフィルタリング
カスタムチャットエージェントは、エージェント自体の権限ではなく、呼び出したユーザー自身の権限でコンテンツにアクセスします。スペースは Amazon Quick の権限システムを通じてセキュリティ境界を維持するため、仮にプロンプトインジェクションでエージェントの挙動を操作されても、そのユーザーがもともとアクセスできないデータが応答に含まれることはない設計です。
カスタム権限による機能制限
Enterprise Edition では、カスタムアクセス許可プロファイルを使ってアカウント・ロール・ユーザー単位で機能を制限できます。チャットエージェント関連では以下のような制御が可能です。
- Create Chat Agents の制限 : エージェントとの対話は許可しつつ、新規作成のみを制限します。公式ドキュメントでも、システムエージェントとの対話は残しつつ作成を止めたい場合はこの制限のみを使うことが推奨されています
- Use internet to enhance results の制限 : 結果の強化に用いるインターネットアクセスを制限します。Web コンテンツは間接プロンプトインジェクションの典型的な経路であるため、要件次第で制限を検討できます
- Chat Agents の制限 : システムエージェントとの対話も含め、チャットエージェント機能全体を無効化します。
※ エージェントを一切使わせない目的であれば PRO ロールを割り当てないほうがコスト面でも合理的なので、この設定が実際に活きるのは「ダッシュボード作成など他の PRO 機能は必要だが、チャットエージェントだけは止めたい」ユーザー・ロールがある場合や、セキュリティレビューが完了するまで一時的に全面停止したい場合です
エージェントを作成できるユーザーを信頼できる範囲に限定し、共有時も Owner / Viewer の 2 種類の権限で管理することで、意図しない設定のエージェントが組織内に広がることを防げます。
利用上の注意
デフォルトガードレールが組み込まれているとはいえ、プロンプトインジェクションを 100% 防げる単一の対策は存在しません。AWS セキュリティブログでも、単一の防御策に頼るのではなく多層的なアプローチを取ることが推奨されています。本記事で紹介した 4 つのレイヤーを組み合わせたうえで、スペースに取り込むドキュメントの管理プロセス(信頼できないファイルを混入させない運用)もあわせて整備することをおすすめします。
最後に
Amazon Quick のチャットエージェントには、プロンプトリーク保護・プロンプトセーフティ・不適切コンテンツのブロックという 3 つのガードレールが標準で組み込まれており、追加設定なしでプロンプトインジェクションへの基本的な保護が働きます。そのうえで、管理者によるブロックワードやリンク表示の制御、参照ドキュメントを活用したエージェント設計、カスタム権限による機能制限を組み合わせることで、多層的な防御を構成できます。
カスタムチャットエージェントの社内展開を進める際は、まずデフォルトガードレールの内容を把握し、自社ポリシーに合わせたレイヤー 2〜4 の設定を検討してみてはいかがでしょうか。










